Microsoft-Sicherheitsupdates im Multipack

40 entdeckte Löcher in diesem Jahr seinen 40 zu viel, gab sich Steve Ballmer vor wenigen Tagen selbstkritisch. Jetzt sind es mit den Oktober-Sicherheitsupdate bereit 48. Für sieben hat Microsoft einen Patch bereit gestellt. Für eine achte Schwachstelle, die kürzlich durch den Sicherheitsspezialisten X-Force im RPC/DCOM-Dienst entdeckt wurde, bei der eine Vielzahl gleichzeitger RPC-Anfragen das System zum Absturz bringt, fehlt bis auf weiteres ein Flicken.

Vier der jetzt gestopften Windows Löcher betreffen Active-X, den Windows-Nachrichtendienst, das Help and Support Center (HPC). Sie werden von Microsoft selber als kritisch eingestuft, weil über sie ein Eindringen von aussen möglich ist. Über das fünfte Loch in den ListBox- und ComboBox-Controls ist nur ein lokaler Angriff möglich.


Bei der ersten Exchange-Schwachstelle wird über ein manipuliertes SMTP-Kommando entweder das System zum Absturz gebracht (Exchange 5.5) oder bei Version 2000 das Schreiben von beliebigem Code auf den Stack möglich. Dieses Loch bleibt unzugänglich, wenn auf der Firewall Port 25 geschlossen wird. Beim zweiten Exchange-5.5-Loch ist über den Outlook Web Access (OWA) ein Cross-Site-Scripting-Angriff möglich.